Privacy by Design e Privacy by Default

Nel Nuovo Regolamento Europeo, entrato in vigore nel 2016 e che diventerà applicabile il 25 maggio 2018, si delineano due nuovi concetti sul tema della “data protection by design and default”: approfondiamo le differenze.

Privacy by Design

Per privacy by design si intende, in breve, la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo.

Il tema della data protection “by design” rafforza il concetto presente all’art.3 (Principio di necessità nel trattamento dei dati) dell’attuale codice italiano sulla privacy (D.L 196/2003):

“I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”.

Secondo il Regolamento europeo qualsiasi progetto dovrà essere realizzato considerando, sin dalla fase di progettazione, la riservatezza e la protezione dei dati personali

Privacy by Default

Il concetto di Privacy by Default intende sottolineare la necessità della tutela della vita privata dei cittadini “di default” appunto, cioè come impostazione predefinita.

Pertanto le imprese dovranno trattare i dati personali solo nei limiti della misura necessaria e sufficiente per le finalità previste e per il periodo necessario ai fini del processo aziendale di riferimento.

Art.25 del GDPR

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie
garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personaliraccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare,dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

 

 

 

Condividi su:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.